Kiedyś myślałem, że hasła maskowalne mają tę wadę, że bank musi je
przechowywać (a przechowywanie haseł jest be), aby uzupełnić wpis przed
sprawdzeniem. Ale wyprowadzono mnie tu (na pbb) z błędu, bo liczba
kombinacji przesłonięć jest ograniczona i wystarczy przechowywać wyniki
działania jakiejś funkcji jednokierunkowej dla każdej z tych kombinacji
(przepuszczenie takiej funkcji 10^6 razy wydłuża hasło o 20 bitów i miesza z
numerem klienta (to samo hasło u dwu osób da inny wynik), a trwa na PC
poniżej 1s i według ekspertów (Niels Ferguson, Bruce Schneier: Kryptografia
w praktyce) nie ma żadnego usprawiedliwienia dla nie stosowania tego
wydłużania).
Przyjąłem zatem, że tak jest.

Dziś w nocy zalogowałem się do BZWBK a tu mi napisało, że muszę zmienić
hasło bo ma spełniać ileś tam wymagań.
Skąd oni wiedzą, że nie spełnia skoro go nie znają ?
Do tego mi napisało, że od teraz hasło będzie maskowalne, a nie tak jak
dotychczas wpisywane w całości.
Konto mam od roku i od zawsze hasło było maskowalne. Niezgodność z prawdą
tej informacji spowodowała, że nabrałem wątpliwości (mając na uwadze
ostatnie informacje o mBanku), czy to na pewno bank do mnie pisze, czy jakiś
"man in the middle" chce poznać moje hasło (bo zmiana wymaga podania starego
hasła (i to w całości !!) - nie rozumiem dlaczego przecież jestem zalogowany
to po co pytać o stare). No może trochę rozumiem, ale dlaczego w całości to
nie rozumiem.
Sprawdziłem co pod kłódeczką - wydaje się OK i się wylogowałem rezygnując ze
zrobienia tego co chciałem bo bez zmiany hasła się nie da.
Nie mam zanotowanego "odcisku palca" BZWBK - jak by tu się upewnić, że to co
pod kłódeczką jest OK?
P.G.